QNTC-Zugriff auf Freigaben

[Chris.jan]

Ich stehe hier vor einem Problem.
Ich habe erfolgreich meinen AS/400-Nutzer in der Domäne angelegt und konnte auch über QNTC auf die Freigaben zugreifen. Alles kein Problem. ABER...:
Unsere Namenskonvention sieht vor, daß unsere Benutzernamen meist viel länger sind als die 10 zeichen die die AS/400 uns bietet. Wie kann ich das jetzt lösen?
Ich würde gerne, daß ich meinem AS/400-User einfach ein externes Benutzprofil mitgebe, wenn er sich nach draußen verbindet.
Man kann bei WRKDIRE noch eine Netzwerkbenutzer-ID zuordnen, die wird aber leider nicht für QNTC benutzt. Noch jemand eine Lösung? Kann da LDAP helfen?

[Fuerchau]

QNTC erlaubt leider nur 10-Stellige User, und dann auch noch nach AS/400-Regeln.
Ich empfehle immer, den User nicht in der Domäne anzulegen, da QNTC keine Domänenanmeldung kann.
Der User sollte immer als rein lokaler User auf dem Server eingerichtet werden.
Ggf. ist sogar noch die Kennwortrichtlinie zum Einrichten abzuschwächen und das Kennwort auf "Verfällt nie" zu setzen, anschließend kann man die Richtlinie wieder hochsetzen.
Vorteil:
Eine Anmeldung ist dann ausschließlich nur von das AS/400 aus möglich.

[Chris.jan]

Ich habe es so verstanden, daß AS/400 und Freigabe in der gleichen Domaine liegen MÜSSEN.
Zumindest hat die AS/400 bei mir den Domainen-User gefunden und bekam Zugriff.
Einen lokalen User anzulegen empfinde ich aber auch als die bessere Variante.

Übrigens, ich habe mal das Passwortlevel auf dem Testsystem erhöht, um die Passwortrichtlinie erfüllen zu können. Das Läßt sich hin wie zurück nur über einen IPL erledigen. Also nix was man mal "spontan" ausprobieren kann.

QNTC habe ich auch mal getestet, um zwei AS/400 zu verbinden. Funktioniert natürlich bestens , aber ist das wirklich auch die einfachste Lösung? NFS ist wohl genauso ein Umweg wie diese SMB-Lösung. Gibts da keine native Lösung?

[Fuerchau]

Da man sich an einem Winserver anmeldet, ergänzt dieser die Domäne automatisch, wenn nur der Username angegeben wird. Deshalb findet er auch einen Domänenuser.
Bei der Anmeldung wird dann allerdings erst mal alles vom Domänecontroller geladen (wenn er es nicht selber ist) um das Profil zu initialisieren. Beim Abmelden wird dann alles wieder gespeichert.
Was die Kennwortrichtlinien angeht, so ist hiermit nicht das Passwortlevel auf der AS/400 sondern die Kennwortrichtlinie auf dem Server (Local/Group-Policity) gemeint.
Der Standard steht hier meist auf Groß/Klein, mindestens eine Zahl und ein Sonderzeichen.
Damit lässt sich ein AS/400-Kennwort mit Passwortlevel 0 nicht erstellen.
Man kann diese Richtlinie auf dem Server aber temporär reduzieren (wirkt auch ohne Neustart) und nach dem Anlegen des Users wieder zurücksetzen.

QNTC ist wohl wirklich die einfachste Variante.
Es besteht aber das Problem, dass geerbte Berechtigungen nicht funktionieren. D.h., jeder User der das QNTC verwenden soll, muss im Server registriert sein, Passwortsynchronität inklusive.
Ein Programm mit Ausführung *OWNER wird also trotzdem mit dem User angemeldet.

Zwischen 2 AS/400 gibt es auch das "QFieleSrv.400" (oder so) dass einfacher ist.
Auch hier gilt natürlich wieder die User-Anmeldung.

Man kann auch per MOUNT auf der AS/400 auf NFS-Freigaben zugreifen. Auch hier wieder die selbe Anmeldeproblematik.

Die einzig "neutrale" Anmeldung am Server ist dann halt FTP.
Hier kann man per Script Benutzer/Kennwort mit allen Varianten übergeben, Dateien transferieren und auch auf dem Ziel ein Script ausführen.
Nachteil hier: keine richtige Kontrolle über Erfolg oder Nichterfolg. Man muss das Ausgabeprotokoll analysieren (kann in eine PF umgeleitet werden) um den Erfolg einer oder mehrerer Aktionen zu prüfen.
Über gibt man mehrere FTP-Kommandos werden diese gnadenlos abgearbeitet, egal ob erfolgreich oder nicht. Ist z.B. der "cd destdir" nicht erfolgreich erfolgt der nachfolgende "put myfile" dann halt in das aktuelle Verzeichnis (falls die Berechtigung es erlaubt).

Die einzig sichere Kommunikation bietet nur eine Client/Server-Anwendung, die über Schnittstellen (DataQueue ist am einfachsten) oder TCP-Socket oder sonstwas Daten austauscht.